Skriftlig spørsmål fra Kjersti Toppe (Sp) til helse- og omsorgsministeren

Dokument nr. 15:1932 (2019-2020)
Innlevert: 15.06.2020
Sendt: 15.06.2020
Besvart: 18.06.2020 av helse- og omsorgsminister Bent Høie

Kjersti Toppe (Sp)

Spørsmål

Kjersti Toppe (Sp): Datatilsynet har fastslått at datainnsamlingen til Smittestopp-applikasjonen er i strid med personvernforordningen, på tross av statsrådens garantier om det motsatte.
Tar statsråden selvkritikk for hvordan personvernutfordringene ved applikasjonen er håndtert, og hvordan vil han garantere at personvernet vil bli ivaretatt ved en eventuell videre bruk av Smittestopp?

Begrunnelse

15. juni ble Folkehelseinstituttet ilagt midlertidig forbud mot databehandling knyttet til Smittestopp-applikasjonen, med bakgrunn i personvernforordningen (GDPR). Pålegget er i hovedsak begrunnet i at datainnsamlingen ikke er begrenset til det som er nødvendig for å nå formålene – noe som innebærer at personvernforordningens krav om dataminimering ikke er overholdt. Datatilsynet trekker frem at applikasjonen samler inn posisjonsdata via GPS, når det kan argumenteres for at kontaktsporing ved hjelp av Bluetooth-data er tilstrekkelig. Datatilsynet mener det er positivt at FHI vil redusere lagringstiden for dataene til ti dager, men påpeker at den maksimale lagringstiden ifølge forskriften fortsatt er 30 dager. Datatilsynet viser også til at den dokumenterte nytteverdien ved applikasjonen er liten, og den dermed ikke kan forsvare det store personverninngrepet.
Flere av disse innvendingene ble reist fra flere kanter i forkant av lanseringen, deriblant av undertegnede i dokument 15:1364 (2019-2020), 19. april. Der svarer statsråden følgende:
«Vi har valgt sentral lagring og bruk av posisjonsdata fordi vi mener at det vil gi oss den mest presise og effektive smittesporingen, og det vil fungere best for å følge utviklingen av pandemien og effekten av smitteverntiltakene. Dette er gjort på en måte som sikrer personvernet og som er i tråd med personvernforordningen (GDPR).»
Pålegget fra Datatilsynet viser altså at det motsatte er tilfellet: Datainnsamlingen er gjort på en måte som bryter med personvernforordningen, og utgjør et uforholdsmessig inngrep i personvernet.
Tillit mellom myndighetene og befolkningen er avgjørende for å håndtere koronavirusutbruddet på en best mulig måte. Vi har ikke råd til å ta tilsvarende sjanser med folks personvern i fremtiden. Det er derfor avgjørende å få svar på hvordan statsråden vil han sikre at den samme feilen ikke gjøres igjen, ved en eventuell videre bruk av Smittestopp-applikasjonen.

Bent Høie (H)

Svar

Bent Høie: Datatilsynet varslet i brev 12. juni Folkehelseinstituttet om vedtak om midlertidig forbud mot å behandle personopplysninger i applikasjonen Smittestopp. Datatilsynet har ennå ikke fattet vedtak i saken, brevet er et forhåndsvarsel om vedtak, jf. forvaltningsloven § 16. Folkehelseinstituttet ble gitt frist til 23. juni for å gi tilbakemelding. Et eventuelt vedtak kan påklages til Personvernnemnda.
På bakgrunn av Datatilsynets varsel har Folkehelseinstituttet stoppet all innsamling av data og sletter alle personopplysninger inntil videre.
Jeg viser videre til Stortingets vedtak 16. juni om å be "regjeringen endre Smittestopp-applikasjonen og sørge for at de som laster ned appen får mulighet til delt samtykke. Ett til smittesporing og ett til kunnskapsinnhenting". Jeg har bedt Folkehelseinstituttet om å følge opp dette.
Datatilsynet presiserer i varslet at de ikke ønsker å stå i veien for bruk av en digital løsning som er et reelt bidrag i arbeidet med å begrense spredning av covid-19-smitte i befolkningen. Tilsynet påpeker imidlertid at det

"[..]ut fra dagens situasjon – med lav smitteutbredelse, lav oppslutning om Smittestopp og mangelfull oppnåelse av formålene om smittesporing og evaluering av smitteverntiltak – anser vi imidlertid ikke lenger Smittestopp som et forholdsmessig inngrep i den enkelte brukers personvern. Videre legger Datatilsynet til grunn at helsemyndighetene har "mye kunnskap om smitteutbredelsen i samfunnet uavhengig av Smittestopp, et faktum som har innvirkning på vurderingen av tiltakets nødvendighet."

Folkehelseinstituttet, jeg og regjeringen har et annet syn enn Datatilsynet i vurderingen av hvor alvorlig situasjon vi fortsatt er i. Vi har ikke immunitet i befolkningen, ingen vaksine, og ingen effektiv behandling. Nå åpner vi likevel samfunnet gradvis mer opp. Dersom smitten øker i samfunnet igjen, må vi kunne handle raskt for å spore og stoppe smitte. Det mest sannsynlige er at vi nå får lokale smitteutbrudd. Vi bør ikke vente til disse eventuelt har vokst seg nasjonale før vi kan bruke Smittestopp som verktøy. Applikasjonen kan bli viktig for å fange opp og stoppe nye utbrudd så tidlig som mulig. Folkehelseinstituttet har sagt at de håper at folk vil beholde applikasjonen i beredskap på telefonene sine. Det gjør at de raskt kan reaktivere applikasjonen hvis de finner en løsning som Datatilsynet er tilfreds med.
Vi har nå kontroll i Norge, men det betyr ikke at vi ikke må være i beredskap. Uten Smittestopp-appen vil vi være dårligere rustet for å forebygge nye utbrudd som kan komme lokalt eller nasjonalt.
Jeg vil også minne om at da vi oppfordret til å laste ned applikasjonen, var Datatilsynets vurdering av applikasjonen en annen enn den er i dag. Applikasjonen er hjemlet i lov og det er frivillig å delta. Personvern og sikkerhet har veid tungt i utviklingen av applikasjonen. Vi har vært helt åpne på at Smittestopp må testes ut og forbedres.
Folkehelseinstituttet arbeider med flere av problemstillingene som Datatilsynet tar opp, blant annet om det skal benyttes både lokasjonsdata og blåtann-teknologi, og - som nevnt – deling av applikasjonen i to frivillige deler – en for kontaktsporing og en for kunnskapsinnhenting. Folkehelseinstituttet vurderer også andre tiltak for å styrke personvernet og sikkerheten i applikasjonen. De tester ut løsningen fra Google og Apple, og de har besluttet å redusere lagringstiden av data fra 30 dager til under 10 dager.
Vi lever med et farlig virus som sprer seg lett. Vi mener at applikasjonen kan bli et viktig verktøy for å raskt spore og stoppe smitte både under denne og kommende pandemier. Dagens teknologi gir oss muligheter som ingen tidligere har hatt til å forhindre smitte, sykdom og død. Vi må tørre å ta i bruk ny teknologi og utvikle nye metoder, men det er også krevende. De må utvikles, utprøves og utbedres over tid. Det er bra at applikasjonen fører til debatt. Det vil gjøre løsningen bedre og sikrere.
Det er også viktig å huske at teknologiske verktøy ikke kan vurderes alene. De må vurderes etter hvordan de brukes, og ses i sammenheng med samfunnet for øvrig og rettssikkerhetsgarantiene som ligger til grunn i samfunnet. Applikasjonen i Norge er frivillig å bruke, og vi har gode demokratiske rammeverk som sørger for at den enkeltes rettigheter ivaretas på en god måte. Det er ikke gitt at det oppleves som mer inngripende for hver enkelt av oss å frivillig kunne laste ned en applikasjon enn å kunne bli pålagt fysiske begrensninger i bevegelsesfriheten.